WIN10(32)寻找SHADOW表是不是需要什么特别的方法?
以前在XP上很好使的代码忽然从WIN10开始不能用了。注意是WIN10的32位,64位用TA的代码很好使。 你说的SHADOW表,是指向SSSDT的PSYSTEM_SERVICE_TABLE类型的变量吧。不知道你代码怎么写的,一般在KeServiceDescriptorTable的正负PAGE_SIZE范围内暴力搜索一下即可。
PUCHAR p=NULL;
PSYSTEM_SERVICE_TABLE KeServiceDescriptorTableWIN32K=NULL;
for(p=(PUCHAR)KeServiceDescriptorTable-PAGE_SIZE; p<(PUCHAR)KeServiceDescriptorTable+PAGE_SIZE; p++)
{
if(p!=(PUCHAR)KeServiceDescriptorTable)
{
if(memcmp(p, KeServiceDescriptorTable, sizeof(SYSTEM_SERVICE_TABLE))==0)
{
KeServiceDescriptorTableWIN32K = (PSYSTEM_SERVICE_TABLE)(p + sizeof(SYSTEM_SERVICE_TABLE));
break;
}
}
} Krueger 发表于 2020-7-29 02:30
我也在搜索一種方式/代碼,該傳統代碼(基於KeAddSystemServiceTable函數)不適用於Win10 32位。 PS:上面 ...
你获取地址的目的是为了HOOK吗?如果是的话,在WIN10上有简单的方式。
页:
[1]